Medusa 勒索軟體 24 小時內完成全攻擊流程！ 微軟示警 Storm-1175 有零日漏洞攻擊能力

微軟近日發布研究報告指出，部署 Medusa 勒索軟體的駭客組織 Storm-1175 展現出極高的攻擊效率，能在入侵系統後 24 小時內完成資料外洩與勒索軟體部署。更令人擔憂的是，該組織已具備零日漏洞利用能力，曾在修補程式釋出前一週就開始發動攻擊。

攻擊效率大幅提升 典型攻擊週期僅五至六天

根據微軟的分析，Storm-1175 是一個以經濟利益為動機的中國駭客組織，以部署 Medusa 勒索軟體聞名。該組織近期的攻擊行動展現出驚人的作業效率，從初始入侵到完成資料竊取與勒索軟體部署，最快可在 24 小時內完成，典型攻擊週期則為五至六天。

微軟表示：「該威脅行為者的高作業節奏與辨識暴露於外網資產的能力已被證明非常有效，近期入侵行動對醫療機構造成嚴重衝擊，同時也影響澳洲、英國及美國的教育、專業服務與金融業組織。」

事件應變人員觀察到，Medusa 攻擊者在入侵系統後會立即建立新的使用者帳戶以維持存取權限，並大量依賴 ConnectWise ScreenConnect、AnyDesk 及 SimpleHelp 等合法遠端管理工具進行後續操作，藉此規避資安軟體偵測。

零日漏洞利用能力成形 修補前一週即遭攻擊

微軟的研究報告特別強調，Storm-1175 已從過去僅利用已知漏洞（N-day）的模式，進化到能夠利用零日漏洞發動攻擊。報告列舉兩個具體案例：SmarterTools 公司 SmarterMail 郵件伺服器的身分驗證繞過漏洞 CVE-2026-23760，以及 GoAnywhere 託管檔案傳輸平台的漏洞 CVE-2025-10035，Storm-1175 皆在修補程式公開釋出前一週就已開始利用這些漏洞發動攻擊。

美國網路安全暨基礎設施安全局（CISA）先前已確認 CVE-2026-23760 與 CVE-2025-10035 曾被用於勒索軟體攻擊。

微軟分析指出：「雖然這些較新的攻擊顯示 Storm-1175 已發展出進階的開發能力，或取得漏洞掮客等新資源管道，但值得注意的是，GoAnywhere MFT 過去就曾被勒索軟體攻擊者鎖定，而 SmarterMail 漏洞據報也與先前揭露的漏洞相似。這些因素可能有助於 Storm-1175 後續的零日漏洞利用活動。」

利用超過 16 種漏洞 攻擊範圍涵蓋多種軟體產品

根據微軟的追蹤，Storm-1175 在近期攻擊活動中已利用超過 16 種漏洞，涵蓋 10 種軟體產品，包括：Microsoft Exchange（CVE-2023-21529）、Papercut（CVE-2023-27351、CVE-2023-27350）、Ivanti Connect Secure 與 Policy Secure（CVE-2023-46805、CVE-2024-21887）、ConnectWise ScreenConnect（CVE-2024-1709、CVE-2024-1708）、JetBrains TeamCity（CVE-2024-27198、CVE-2024-27199）、SimpleHelp（CVE-2024-57726、CVE-2024-57727、CVE-2024-57728）、CrushFTP（CVE-2025-31161）及 BeyondTrust（CVE-2026-1731）等。

微軟同時觀察到，Storm-1175 的攻擊者會串連多個漏洞利用程式，在受害系統上建立持久化存取，手法包括建立新帳戶、部署遠端監控管理軟體、竊取憑證，並在部署勒索軟體前停用資安軟體。

關鍵基礎設施持續遭受威脅

Medusa 勒索軟體組織自 2021 年出現以來，已多次展現鎖定醫療設施與美國各地市政府的意圖。該組織近期聲稱對紐澤西州帕塞克郡（Passaic County）與密西西比大學醫學中心（UMMC）發動攻擊，後者在聯邦調查局（FBI）與國土安全部（DHS）協助下，已於 3 月 2 日恢復全面運作。

CISA 於 2025 年 3 月與 FBI 及多州資訊分享與分析中心（MS-ISAC）聯合發布資安通報，警告 Medusa 勒索軟體組織的攻擊已影響美國超過 300 個關鍵基礎設施組織。

企業應加速掌握數位曝險狀況

微軟強調，隨著勒索軟體攻擊者愈來愈擅長辨識新漏洞，組織必須在為時已晚之前了解自身的數位足跡，才能有效防禦針對外網邊界的攻擊。Storm-1175 特別擅長在漏洞揭露與企業廣泛採用修補程式之間的空窗期，鎖定暴露於外網的脆弱系統發動攻擊。

資安專家建議企業應持續盤點暴露於外網的資產、加速修補已知漏洞、強化對遠端管理工具的監控，並確保具備快速應變的事件處理能力，以因應攻擊週期大幅縮短的新威脅態勢。